关键问答丨复盘手机失窃保卫战!第一时间应该怎么做?
如果发现手机被盗,你第一时间会怎么做?近日,一名网络安全工程师描述手机被盗后与不法分子周旋的“技术贴”引发网友关注。虽然他在手机失窃后以教科书式的操作试图阻止资金被盗,但还是被手法“专业”的犯罪团伙找到漏洞,结果造成了一系列经济损失。
答:这起事件中,犯罪分子使用一张手机卡,突破了多个App层层安全措施,直至盗取资金、贷款,侵害了用户财产安全。难得的是,受害者是一位从事网络安全工作的专业人士,他将整个事件清晰地进行了描述,也将犯罪分子使用的手段予以推断和还原。
答:从下图我们可以看出,手机号或身份证号验证这种典型的“实名认证”模式,其安全性已经比单纯的“账号+密码”模式更安全。但是因为没有做到“实人认证”,还是无法有效分辨手机号是否为本人使用,安全性还存在不足。
并非没有更加复杂的方法去验证是否为本人操作,只是验证步骤越复杂,收集的用户信息就会越多,用户的使用体验也会随之变差。
答:手机失窃后,通过下图中几个操作,事件中的犯罪手段便无法达成。当然,与用户早已习惯且操作方便的手机锁屏不同,SIM卡密码设置本身大家还不熟悉,是不是存在用户遗忘后造成锁机带来不便,或者部分手机操作系统会触发一些反复验证的机制?这都会影响到用户的使用体验。建议在设置SIM卡密码的问题上,运营商及手机操作系统都进一步优化,以便于用户使用该功能。
答:此次事件的典型特点就如受害者所说,犯罪分子利用一个个被App认为是“正常”的操作,利用手机号逐步套取了用户的身份证号、银行卡号等信息,最终完成了整个“拼图”,从而实施了进一步骗取贷款等操作。有黑客就说过,“世界上不存在没有漏洞的系统”,网络安全要做到事事预知、面面俱到、毫无瑕疵几无可能。我们要做的是尽可能在一些细节方面持续加强,与犯罪分子“赛跑”,让作恶的成本不断增加,不给其可乘之机。比如“解除挂失”等关键流程的完善,对于身份证号、银行卡号等的展示可以采取一些打码措施等。还可以通过一些高危风险“熔断”机制,“网络保险”等风险转嫁措施全方位保障安全。
答:不断消除App的安全隐患是App运营者理应履行的职责与义务,对此《网络安全法》第十条有明确规定:
对于不能有效履行网络安全义务的,在网信部门统筹协调下,电信主管部门、公安部门等部门开展监督管理工作,其中处罚方式包括责令整改、警告、行政罚款等,情节严重的可责令停业整顿、吊销执照。
其实只要构建较完备的安全技术和管理能力,除非是底层技术缺陷等特殊原因,大的安全漏洞一般不太会出现,或者不太会造成大范围影响,有足够完备的应急和善后措施也是一种重要的履责体现。
答:这个事件之所以让大家感到后怕,是因为大家会想,作为经验丰富的网络安全专家,面对犯罪分子的层层破解尚力不从心,最终也没能阻止犯罪,只能以补救方式止损。那么,对于普通网民岂不任人宰割?
我们不妨从全局分析,此次事件犯罪分子使用的手段,比起以往来看,事实上显得“性价比不高”,也就是说,万一当时受害者挂失成功,运营商没再听信其编造的谎言,后面的事情也就不会发生。犯罪的路径越复杂、越迂回,成功率一定是越低的。因此,从某种意义上来看,是因为目前网络安全措施普遍有所提升的情况下,迫使犯罪分子想出这个“吃力不讨好的招”,并不代表网络安全真的难以保障,否则,手机失窃案恐怕要大幅度增加了。
其次,从相关数据和舆情来看,此种犯罪方式刚开始出现,还没有大范围发生,受害者从专业角度第一时间向全社会科普,也让有关环节App运营者加强了安全措施,再次降低了出现类似事件的可能性。
网络安全始终是一个黑白不断对抗、攻防不断演化的过程,加强相关宣传教育工作至关重要。面对纷繁复杂的网络空间,作为普通网民,只要学习必要的知识技能、提升安全意识,以不变应万变,做到有效保护自己切身利益并非难事。
答:如何把握“账户安全”和“隐私保护”的平衡,其实也是一个难题。
目前,随着治理深入,用户的选择权越来越多,未经用户同意,这一类信息都不能被收集,大家选择不断关闭权限等收集个人信息渠道的同时,也对安全风控的数据源进行削减,这一点也不得不引人担忧。
在正在制定的国家标准《App收集个人信息基本规范》中,提出了设备唯一标识符可成为最小必要信息,但只能用于安全运营目的。但事实上,对目的的限制和要求还需企业能够真正自律才行,否则以安全目的收集个人信息挪作他用又可能侵犯个人隐私。当然,针对这个问题,研究机构和产业界也在不断探索更进一步的解决方案,以兼顾账户安全和隐私保护。
来源:央视新闻、首都网警
校对:小 董、明月
【2020-278-1539】返回搜狐,查看更多
责任编辑: